کیت اکسپلویت کورونا: ابزار هک پیشرفته آیفون با احتمال منشأ آمریکایی

گروه تهدیدات گوگل یک کیت اکسپلویت بسیار پیشرفته iOS به نام «کورونا» را شناسایی کرده که حاوی ۲۳ اکسپلویت است. این ابزار توسط جاسوسان روسی و کلاهبرداران رمزارزی چینی مورد استفاده قرار گرفته و شواهدی در کد آن نشان می‌دهد ممکن است منشأ آن یک پیمانکار اطلاعاتی آمریکا باشد. آسیب‌پذیری‌های مورد استفاده در این کیت در نسخه‌های جدید iOS اصلاح شده‌اند.

نکات کلیدی

– گوگل یک کیت اکسپلویت iOS به نام «کورونا» را کشف کرده که شامل ۵ زنجیره اکسپلویت کامل و ۲۳ آسیب‌پذیری است.
– این کیت دستگاه‌های آیفون با سیستم‌عامل iOS نسخه ۱۳ تا ۱۷.۲.۱ را هدف قرار می‌دهد و از طریق بازدید از یک وب‌سایت مخرب، بدون نیاز به کلیک کاربر، نصب می‌شود.
– کورونا توسط یک گروه جاسوسی روسی مظنون (UNC6353) و همچنین کلاهبرداران رمزارزی چینی برای اهداف جاسوسی و سرقت مالی مورد استفاده قرار گرفته است.
– شرکت امنیتی iVerify معتقد است شواهدی در کد این کیت وجود دارد که نشان می‌دهد ممکن است منشأ آن یک پیمانکار اطلاعاتی دولت آمریکا باشد.
– آسیب‌پذیری‌های بهره‌برداری شده توسط این کیت در به‌روزرسانی‌های اخیر iOS اصلاح شده‌اند و کیت روی آخرین نسخه‌های سیستم‌عامل کار نمی‌کند.
– تحلیل‌گران تخمین می‌زنند تنها در یک کمپین، حدود ۴۲ هزار دستگاه آلوده شده‌اند.
– گوگل به شدت به کاربران آیفون توصیه می‌کند دستگاه‌های خود را به آخرین نسخه iOS به‌روز کنند یا از حالت قفل‌شدگی (Lockdown Mode) استفاده نمایند.

کشف یک ابزار هک پیشرفته و چندمنظوره

گروه هوش تهدیدات گوگل (GTIG) یک کیت اکسپلویت قدرتمند برای هک آیفون را شناسایی کرده که قادر است دستگاه‌ها را صرفاً با بازدید کاربر از یک وب‌سایت مخرب آلوده کند. این بدان معناست که بدافزار می‌تواند بدون نیاز به هیچ کلیک یا تعامل خاصی از سوی قربانی، منتقل شود.

این فریم‌ورک که «کورونا» نامگذاری شده، شامل پنج زنجیره اکسپلویت کامل iOS و ۲۳ آسیب‌پذیری است که آیفون‌های دارای سیستم‌عامل iOS نسخه ۱۳ تا ۱۷.۲.۱ را هدف می‌گیرد. محققان امنیتی می‌گویند برخی از این اکسپلویت‌ها از تکنیک‌های قبلاً دیده‌نشده‌ای برای دور زدن محافظت‌های امنیتی اپل استفاده می‌کنند.

کیت کورونا آسیب‌پذیری‌های موجود در موتور مرورگر WebKit اپل را هدف قرار می‌دهد و شامل یک لودر است که بسته به مدل دستگاه و نسخه سیستم‌عامل، زنجیره‌های اکسپلویت مختلفی را مستقر می‌کند. محموله‌های مخرب به صورت رمزگذاری شده و فشرده و در یک فرمت فایل سفارشی تحویل داده می‌شوند که برای فرار از تشخیص طراحی شده است.

سفر عملیاتی: از جاسوسی تا کلاهبرداری مالی

گروه گوگل برای اولین بار بخش‌هایی از این toolkit را در اوایل سال ۲۰۲۵ در یک زنجیره اکسپلویت مورد استفاده توسط یک مشتری یک فروشنده نظارت تجاری ناشناس شناسایی کرد. کد مورد استفاده از یک فریم‌ورک JavaScript بهره می‌برد که دستگاه‌ها را انگشت‌نگاری می‌کرد تا مدل آیفون و نسخه سیستم‌عامل را قبل از تحویل یک اکسپلویت سفارشی‌شده تعیین کند.

همین فریم‌ورک بعداً در اواسط سال ۲۰۲۵ روی وب‌سایت‌های به‌خطرافتاده اوکراینی ظاهر شد. گوگل این کمپین را به گروه UNC6353 نسبت داد که یک گروه جاسوسی مظنون روسی است. این گروه از iframe های پنهان استفاده می‌کرد تا به صورت انتخابی کاربران آیفونی که از سایت بازدید می‌کردند را هدف قرار دهد.

در ادامه و در اواخر همان سال، محققان دوباره این toolkit را روی صدها وب‌سایت چینی‌زبان مرتبط با کلاهبرداری‌های رمزارزی و مالی کشف کردند. این سایت‌ها سعی می‌کردند قربانیان را فریب دهند تا با دستگاه‌های iOS از آن‌ها بازدید کنند و سپس کیت اکسپلویت را تزریق نمایند.

تحلیل‌گران iVerify با بررسی ترافیک سرورهای فرمان و کنترل مرتبط با وب‌سایت‌های کلاهبرداری چینی‌زبان که این اکسپلویت‌ها را توزیع می‌کردند، تخمین زدند که تنها در یک کمپین حدود ۴۲ هزار دستگاه به‌خطر افتاده‌اند.

ردپای احتمالی پیمانکاران اطلاعاتی آمریکا

اگرچه گزارش GTIG مشتری اصلی فروشنده نظارت تجاری یا توسعه‌دهنده احتمالی کیت را شناسایی نمی‌کند، اما محققان شرکت امنیتی موبایل iVerify می‌گویند عناصری از کد، نشان‌دهنده منشأ احتمالی آمریکایی است.

راکی کول، یکی از بنیان‌گذاران iVerify به WIRED گفت: «این کیت بسیار پیچیده است، هزینه توسعه آن میلیون‌ها دلار بوده و نشانه‌هایی از ماژول‌های دیگری را دارد که قبلاً به دولت آمریکا نسبت داده شده‌اند.» او افزود که این اولین نمونه‌ای است که شرکتش از «ابزارهای بسیار محتمل دولت آمریکا» کشف کرده که پس از «خارج شدن از کنترل»، توسط adversaries و گروه‌های سایبری مجرمانه مورد اقتباس قرار گرفته‌اند.

این اظهارات، سناریوی نگران‌کننده‌ای را ترسیم می‌کند که در آن ابزارهای هک پیشرفته و گران‌قیمت توسعه‌یافته توسط نهادهای دولتی، ممکن است نهایتاً به دست بازیگران مخرب دیگر بیفتند و علیه اهداف گسترده‌تری مورد سوءاستفاده قرار گیرند.

وضعیت فعلی و توصیه‌های ضروری امنیتی

خبر خوب این است که گزارش گوگل تأکید می‌کند آسیب‌پذیری‌های مورد استفاده توسط کورونا از آن زمان در نسخه‌های جدیدتر سیستم‌عامل موبایل اپل اصلاح شده‌اند. این کیت اکسپلویت علیه آخرین نسخه‌های iOS کار نمی‌کند.

گروه هوش تهدیدات گوگل به شدت به کاربران آیفون توصیه کرده‌اند دستگاه‌های خود را به آخرین نسخه iOS به‌روز کنند. این ساده‌ترین و مؤثرترین اقدام دفاعی در برابر چنین تهدیداتی است. در صورتی که به‌روزرسانی فوراً امکان‌پذیر نباشد، گوگل اشاره کرده که حالت قفل‌شدگی (Lockdown Mode) اپل می‌تواند محافظت اضافی فراهم کند.

این کشف، اهمیت حیاتی به‌روز نگه‌داشتن سیستم‌عامل و نرم‌افزارها را بار دیگر برجسته می‌سازد. همچنین نشان می‌دهد که چگونه یک ابزار نظارتی پیشرفته می‌تواند از حوزه عملیات کنترل‌شده خارج شود و در اختیار طیف وسیعی از تهدیدات، از جاسوسان دولتی تا مجرمان سایبری مالی، قرار گیرد. جامعه امنیتی همچنان در حال ردیابی کامل منشأ و تمامی استفاده‌های انجام‌شده از این toolkit است.